会员服务
5 月 1 日
CleanBase: Detecting Malicious Documents in RAG Knowledge Databases
翻译:CleanBase:检测RAG知识数据库中的恶意文档
Weifei Jin,Xilong Wang,Wei Zou,Jinyuan Jia,Neil Gong
Weifei Jin,Xilong Wang,Wei Zou,Jinyuan Jia,Neil Gong

Retrieval-augmented generation (RAG) is vulnerable to prompt injection attacks, in which an adversary inserts malicious documents containing carefully crafted injected prompts into the knowledge database. When a user issues a question targeted by the attack, the RAG system may retrieve these malicious documents, whose injected prompts mislead it into generating attacker-specified answers, thereby compromising the integrity of the RAG system. In this work, we propose CleanBase, a method to detect malicious documents within a knowledge database. Our key insight is that malicious documents crafted for the same attack-targeted questions often exhibit high semantic similarity, as attackers deliberately make them consistent to improve attack success rates. Accordingly, CleanBase constructs a similarity graph over the knowledge database, where each node represents a document and an edge connects two nodes if their semantic similarity--computed using an embedding model--exceeds a statistically determined threshold. Due to their inherent similarity, malicious documents tend to form cliques within this graph. CleanBase detects such cliques and flags the corresponding documents as malicious. We theoretically derive upper bounds on CleanBase's false positive and false negative rates and empirically validate its effectiveness. Experimental results across multiple datasets and prompt injection attacks demonstrate that CleanBase accurately detects malicious documents and effectively safeguards RAG systems. Our source code is available at https://github.com/WeifeiJin/CleanBase.


翻译:检索增强生成(RAG)易受提示注入攻击,攻击者将精心构造的注入提示嵌入恶意文档并插入知识数据库。当用户发起针对攻击目标的问题时,RAG系统可能检索到这些恶意文档,其注入提示会误导系统生成攻击者指定的答案,从而破坏RAG系统的完整性。本文提出CleanBase方法,用于检测知识数据库中的恶意文档。我们的核心洞见在于:针对同一攻击目标问题构造的恶意文档往往具有高度语义相似性——攻击者会刻意使其保持一致以提高攻击成功率。据此,CleanBase在知识数据库上构建相似度图,其中每个节点代表一个文档,若两个节点的语义相似度(通过嵌入模型计算)超过统计确定的阈值,则连接这两条边。由于恶意文档固有的相似性,它们倾向于在此图中形成团结构。CleanBase检测此类团结构并将对应文档标记为恶意。我们从理论上推导了CleanBase的假阳性率和假阴性率上界,并通过实验验证其有效性。跨多个数据集和提示注入攻击的实验结果表明,CleanBase能准确检测恶意文档,有效保障RAG系统的安全性。我们的源代码已发布在 https://github.com/WeifeiJin/CleanBase。
0
下载
关闭预览

相关内容

【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
专知会员服务
22+阅读 · 2025年11月15日
检索增强生成(RAG)技术,261页slides
检索增强生成(RAG)技术,261页slides
专知会员服务
42+阅读 · 2025年10月16日
【新书】Essential GraphRAG: 知识图谱增强的RAG
【新书】Essential GraphRAG: 知识图谱增强的RAG
专知会员服务
35+阅读 · 2025年7月17日
【新书】检索增强生成(RAG)入门指南
【新书】检索增强生成(RAG)入门指南
专知会员服务
30+阅读 · 2025年6月25日
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
专知会员服务
49+阅读 · 2024年12月17日
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
专知会员服务
56+阅读 · 2024年8月22日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
22+阅读 · 2023年10月11日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
置信学习:让样本中的"脏数据"原形毕露 ( 附开源实现 )
置信学习:让样本中的"脏数据"原形毕露 ( 附开源实现 )
DataFunTalk
12+阅读 · 2020年7月3日
异常检测怎么做,试试孤立随机森林算法(附代码)
异常检测怎么做,试试孤立随机森林算法(附代码)
机器之心
16+阅读 · 2020年3月15日
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
全球人工智能
13+阅读 · 2019年4月30日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
Kaggle 恶意评论(toxic comment classification)分类 top 1 %方案
Kaggle 恶意评论(toxic comment classification)分类 top 1 %方案
AI研习社
11+阅读 · 2018年4月1日
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
专知
19+阅读 · 2018年3月16日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
上百份文字的检测与识别资源,包含数据集、code和paper
上百份文字的检测与识别资源,包含数据集、code和paper
数据挖掘入门与实战
17+阅读 · 2017年12月7日
OCR开源库(文本区域定位和文本识别):github
OCR开源库(文本区域定位和文本识别):github
数据挖掘入门与实战
28+阅读 · 2017年11月26日
重复数据删除存储系统的可靠性关键技术研究
国家自然科学基金
1+阅读 · 2017年12月31日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
多标记文本数据流分类方法研究
国家自然科学基金
3+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
不确定知识图谱中面向结构查询的众包清洗研究
国家自然科学基金
4+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
维吾尔文印刷文档图像中不良信息过滤关键技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Needle-in-RAG: Prompt-Conditioned Character-Level Traceback of Poisoned Spans in Retrieved Evidence
Arxiv
0+阅读 · 5月3日
A Hybrid Retrieval and Reranking Framework for Evidence-Grounded Retrieval-Augmented Generation
Arxiv
0+阅读 · 5月3日
From BM25 to Corrective RAG: Benchmarking Retrieval Strategies for Text-and-Table Documents
Arxiv
0+阅读 · 4月2日
PluriHopRAG: Exhaustive, Recall-Sensitive QA Through Corpus-Specific Document Structure Learning
Arxiv
0+阅读 · 4月1日
Defending Against Knowledge Poisoning Attacks During Retrieval-Augmented Generation
Arxiv
0+阅读 · 3月27日
$p^2$RAG: Privacy-Preserving RAG Service Supporting Arbitrary Top-$k$ Retrieval
Arxiv
0+阅读 · 3月16日
When Safety Becomes a Vulnerability: Exploiting LLM Alignment Homogeneity for Transferable Blocking in RAG
Arxiv
0+阅读 · 3月4日
Interact-RAG: Reason and Interact with the Corpus, Beyond Black-Box Retrieval
Arxiv
0+阅读 · 2月26日
Resisting Contextual Interference in RAG via Parametric-Knowledge Reinforcement
Arxiv
0+阅读 · 2月25日
Revisiting RAG Retrievers: An Information Theoretic Benchmark
Arxiv
0+阅读 · 2月25日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
最新内容
反无人机拦截器训练与运用课程:对美国陆军部队发展的启示
反无人机拦截器训练与运用课程:对美国陆军部队发展的启示
专知会员服务
4+阅读 · 今天8:00
重新思考无人机时代的生存能力
重新思考无人机时代的生存能力
专知会员服务
2+阅读 · 今天7:44
装甲突击旅:现代战争思考、战斗与组织
装甲突击旅:现代战争思考、战斗与组织
专知会员服务
2+阅读 · 今天7:28
在人工智能加速决策环境中拓展OODA循环
在人工智能加速决策环境中拓展OODA循环
专知会员服务
3+阅读 · 今天7:18
《廉价自杀式无人机战争的军事战略影响:乌克兰与伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰与伊朗案例研究》
专知会员服务
4+阅读 · 今天7:07
军事欺骗:供作战战术指挥官使用的工具
军事欺骗:供作战战术指挥官使用的工具
专知会员服务
3+阅读 · 今天7:03
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
专知会员服务
4+阅读 · 6月23日
综述 | 世界动作模型:少做梦,多行动
综述 | 世界动作模型:少做梦,多行动
专知会员服务
5+阅读 · 6月23日
美以伊冲突:无人机与人工智能的运用
美以伊冲突:无人机与人工智能的运用
专知会员服务
10+阅读 · 6月23日
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
专知会员服务
4+阅读 · 6月23日
《特种部队在透明战场中的生存力》最新报告
《特种部队在透明战场中的生存力》最新报告
专知会员服务
5+阅读 · 6月23日
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
专知会员服务
8+阅读 · 6月23日
《人工智能生成的零日漏洞:对未来作战的影响》
《人工智能生成的零日漏洞:对未来作战的影响》
专知会员服务
7+阅读 · 6月23日
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
专知会员服务
4+阅读 · 6月23日
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
专知会员服务
6+阅读 · 6月22日
相关VIP内容
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
【AAAI2026】TruthfulRAG:基于知识图谱解决检索增强生成中的事实层冲突
专知会员服务
22+阅读 · 2025年11月15日
检索增强生成(RAG)技术,261页slides
检索增强生成(RAG)技术,261页slides
专知会员服务
42+阅读 · 2025年10月16日
【新书】Essential GraphRAG: 知识图谱增强的RAG
【新书】Essential GraphRAG: 知识图谱增强的RAG
专知会员服务
35+阅读 · 2025年7月17日
【新书】检索增强生成(RAG)入门指南
【新书】检索增强生成(RAG)入门指南
专知会员服务
30+阅读 · 2025年6月25日
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
【新书】解锁数据与生成型AI和RAG的结合:通过RAG将内部数据与大型语言模型集成,提升生成型AI系统的能力
专知会员服务
49+阅读 · 2024年12月17日
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
图怎么用RAG?北大等最新《图检索增强生成(GraphRAG)》综述
专知会员服务
56+阅读 · 2024年8月22日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
22+阅读 · 2023年10月11日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
置信学习:让样本中的"脏数据"原形毕露 ( 附开源实现 )
置信学习:让样本中的"脏数据"原形毕露 ( 附开源实现 )
DataFunTalk
12+阅读 · 2020年7月3日
异常检测怎么做,试试孤立随机森林算法(附代码)
异常检测怎么做,试试孤立随机森林算法(附代码)
机器之心
16+阅读 · 2020年3月15日
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
全球人工智能
13+阅读 · 2019年4月30日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
Kaggle 恶意评论(toxic comment classification)分类 top 1 %方案
Kaggle 恶意评论(toxic comment classification)分类 top 1 %方案
AI研习社
11+阅读 · 2018年4月1日
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
专知
19+阅读 · 2018年3月16日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
上百份文字的检测与识别资源,包含数据集、code和paper
上百份文字的检测与识别资源,包含数据集、code和paper
数据挖掘入门与实战
17+阅读 · 2017年12月7日
OCR开源库(文本区域定位和文本识别):github
OCR开源库(文本区域定位和文本识别):github
数据挖掘入门与实战
28+阅读 · 2017年11月26日
相关论文
Needle-in-RAG: Prompt-Conditioned Character-Level Traceback of Poisoned Spans in Retrieved Evidence
Arxiv
0+阅读 · 5月3日
A Hybrid Retrieval and Reranking Framework for Evidence-Grounded Retrieval-Augmented Generation
Arxiv
0+阅读 · 5月3日
From BM25 to Corrective RAG: Benchmarking Retrieval Strategies for Text-and-Table Documents
Arxiv
0+阅读 · 4月2日
PluriHopRAG: Exhaustive, Recall-Sensitive QA Through Corpus-Specific Document Structure Learning
Arxiv
0+阅读 · 4月1日
Defending Against Knowledge Poisoning Attacks During Retrieval-Augmented Generation
Arxiv
0+阅读 · 3月27日
$p^2$RAG: Privacy-Preserving RAG Service Supporting Arbitrary Top-$k$ Retrieval
Arxiv
0+阅读 · 3月16日
When Safety Becomes a Vulnerability: Exploiting LLM Alignment Homogeneity for Transferable Blocking in RAG
Arxiv
0+阅读 · 3月4日
Interact-RAG: Reason and Interact with the Corpus, Beyond Black-Box Retrieval
Arxiv
0+阅读 · 2月26日
Resisting Contextual Interference in RAG via Parametric-Knowledge Reinforcement
Arxiv
0+阅读 · 2月25日
Revisiting RAG Retrievers: An Information Theoretic Benchmark
Arxiv
0+阅读 · 2月25日
相关基金
重复数据删除存储系统的可靠性关键技术研究
国家自然科学基金
1+阅读 · 2017年12月31日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
多标记文本数据流分类方法研究
国家自然科学基金
3+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
不确定知识图谱中面向结构查询的众包清洗研究
国家自然科学基金
4+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
维吾尔文印刷文档图像中不良信息过滤关键技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top